Apple сегодня подтвердила, что устранила недавно обнаруженную уязвимость «Meltdown» в ранее выпущенных обновлениях iOS 11.2, macOS 10.13.2 и tvOS 11.2, а также в ближайшее время выпустит дополнительные исправления для Safari для защиты от уязвимости «Spectre».

Apple также подтвердила, что обе уязвимости затрагивают все Mac и устройства iOS. Полное заявление компании, доступное в новом документе поддержки, посвященном Meltdown и Spectre, приведено ниже:

Исследователи безопасности недавно обнаружили проблемы безопасности, известные под двумя названиями: Meltdown и Spectre. Эти проблемы затрагивают все современные процессоры и практически все вычислительные устройства и операционные системы.

Затронуты все системы Mac и устройства iOS, но на данный момент нет известных случаев использования этих уязвимостей против клиентов. Поскольку для использования многих из этих проблем требуется загрузка вредоносного приложения на ваш Mac или устройство iOS, мы рекомендуем загружать программное обеспечение только из доверенных источников, таких как App Store.

Apple уже выпустила меры по смягчению последствий в iOS 11.2, macOS 10.13.2 и tvOS 11.2 для защиты от Meltdown. Apple Watch не затронуты Meltdown. В ближайшие дни мы планируем выпустить меры по смягчению последствий в Safari для защиты от Spectre. Мы продолжаем разрабатывать и тестировать дальнейшие меры по смягчению последствий этих проблем и выпустим их в будущих обновлениях iOS, macOS, tvOS и watchOS.

В заявлении Apple не уточняется, были ли устранены эти уязвимости в более старых версиях iOS и Mac, но для Mac наряду с macOS 10.13.2 были выпущены обновления безопасности для более старых версий macOS, поэтому возможно, что исправления уже доступны для Sierra и El Capitan.

Новости об уязвимостях Spectre и Meltdown впервые появились на этой неделе, но Intel и основные поставщики операционных систем, такие как Apple, Linux и Microsoft, знали о проблеме в течение нескольких месяцев и работали над подготовкой исправления до того, как уязвимости безопасности были обнародованы.

Spectre и Meltdown — это серьезные уязвимости, которые используют механизм спекулятивного выполнения процессора. Поскольку они основаны на аппаратных недостатках, производители операционных систем обязаны внедрять программные обходные пути. Эти программные обходные пути могут влиять на производительность процессора, но Intel настаивает на том, что большинство пользователей не заметят серьезных замедлений. Apple также заявляет, что в macOS и iOS не было выявлено никакого измеримого воздействия.

Apple выпустила меры по смягчению последствий Meltdown в iOS 11.2, macOS 10.13.2 и tvOS 11.2. watchOS не требовала смягчения последствий. Наши тесты с использованием общедоступных бенчмарков показали, что изменения в обновлениях за декабрь 2017 года не привели к какому-либо измеримому снижению производительности macOS и iOS, измеренному бенчмарком GeekBench 4, или в обычных бенчмарках веб-браузинга, таких как Speedometer, JetStream и ARES-6.

Уязвимость Meltdown позволяет вредоносной программе читать память ядра, получая доступ к таким данным, как пароли, электронные письма, документы, фотографии и многое другое. Meltdown может быть использована для чтения всей физической памяти целевой машины. Уязвимость особенно проблематична для облачных сервисов.

Spectre, которая охватывает две техники эксплуатации, нарушает изоляцию между различными приложениями. Apple заявляет, что, хотя уязвимость Spectre трудно использовать, ее можно использовать с помощью JavaScript в веб-браузере. Apple планирует выпустить обновления Safari для macOS и iOS для предотвращения эксплуатации на основе Spectre.

Как и в случае с уязвимостью Meltdown, Apple заявляет, что предстоящие меры по смягчению последствий в Safari не окажут «измеримого воздействия» на тесты Speedometer и ARES-6, а воздействие на бенчмарк JetStream составит менее 2,5%.

Apple заявляет, что продолжит тестировать дальнейшие меры по смягчению последствий Spectre и выпустит их в будущих версиях iOS, macOS, tvOS и watchOS.

Обновление: Apple обновила свой документ поддержки по Meltdown и Spectre, чтобы уточнить, что Apple Watch не затронуты ни одной из уязвимостей. Ранее Apple только подтверждала, что Apple Watch не затронуты Meltdown.

Обновление 2: Apple подтвердила, что исправления также были выпущены для macOS Sierra и OS X El Capitan в обновленном документе поддержки безопасности.

Обновление 3: Документ поддержки, подтверждающий исправления для Sierra и El Capitan, снова был обновлен, чтобы удалить ссылки на эти две операционные системы, поэтому остается неясным, были ли выпущены исправления для Meltdown для этих двух старых операционных систем.